一、我國網絡信任體系的建設和管理概況
由于 CA 在電子商務安全中起著非常重要的作用,從 1998 年開始,國家密碼主管部門就積極介入,一方面推動產品的開發和研究,另一方面積極研究相關的管理問題。電子商務 CA 的關鍵是數字證書的應用和管理。按照商用密碼的管理原則,結合我國的實際情況,目前我國電子商務數字證書認證系統采用“雙中心”、“雙證書”的技術和管理體制,“雙中心”就是要建立“數字證書認證中心”和“密鑰管理中心”,其中“密鑰管理中心”由各地密碼管理部門負責管理。“雙證書”就是指在“數字證書認證中心”所發放的用戶證書要包括“加密證書”和“簽名證書”這兩個證書。針對“數字證書認證中心”的建設,一個地區搞一個統一的電子商務數字證書認證中心比較符合當前的需要以及全國范圍內的管理規范。“雙證書”、“雙中心”的技術和管理體制是中國的特色,其核心是設置兩對非對稱密鑰,一對用于數字簽名和認證,另一對用于數據加密和解密,“雙密鑰對”分別管理。用于簽名和驗證的密鑰對由用戶自己產生,私鑰自己保存,這是為了保證簽名的唯一性,將公鑰公開,放在證書中提供給驗證方用于驗證簽名。用于數據加解密的密鑰對由密鑰管理中心產生和管理,私鑰交用戶自己保存使用,將公鑰公開(放在證書中),數據加密時使用對方的公鑰,由對方使用自己的私鑰進行解密,在實際系統中,由于公鑰運算效率較低,目前加密密鑰對主要用于數據加密密鑰的協商和交換。對加密密鑰對的這種管理,可以做到不允許用戶使用加密功能的,不發給加密證書。這種“雙證書”、“雙中心”的技術和管理體制,完全適應我國的實際,一方面可以為用戶提供高可靠性和唯一的密鑰對,同時也便于加強對信息加密功能的管理。
1998 年 8 月,上海作為全國的試點,第一個建立地區性的電子商務數字證書授權中心和密鑰管理中心,負責頒發并管理電子商務數字證書。此后,山東、深圳和福建也陸續建立了地區性電子商務證書認證中心和密鑰管理中心。目前,經過國家密碼主管部門批準建立的地區性數字證書認證( CA )中心和密鑰管理( KM )中心的有重慶、陜西、廣東等 14 個省市。
同時,隨著電子商務的發展,各行各業紛紛建立本行業的 CA 。 1998 年以來,經國家密碼主管部門批準的行業性的 CA 中心和 KM 中心有:海關總署的國家口岸管理公共執法數據系統安全保密子系統、中國電信湖南電子商務安全認證系統、上海證券交易所安全在線信息系統等 7 個 CA 系統。
近年來,我國的 CA 發展很快, CA 建設已成為熱點,目前全國建立的 CA 中心已達幾十個之多,還有眾多的 CA 中心正在籌劃建設之中。這些 CA 系統大體可分為地區性 CA 、行業性 CA 和商業性 CA 三類,地區性 CA 以本地區的用戶群體為服務對象,行業性 CA 結合自身業務特點,以本行業的用戶群體為服務對象。電子政務的發展也需要建立 CA ,構建電子政務的信任體系,加強電子政務的信息安全保障。根據規劃,電子政務內網 CA 按涉密系統建設,電子政務外網 CA 將與電子商務 CA 合而為一。
二、我國網絡信任體系的應用現狀
幾年來,經國家密碼主管部門批準建設的數字證書認證系統在實際應用大多發揮了較好的作用。
比如,福建省的 CA 中心,經國家密碼主管部門審批,采用商用密碼生產定點單位自主研制的證書認證系統進行建設,并于 2002 年 3 月通過國家密碼主管部門組織的技術鑒定,一年內發放證書 8 萬多張,配合“數字福建”的建設,有力地推動了福建省電子政務、電子商務的發展和應用,在建立網絡信任體系保障信息安全方面發揮了很好的作用。
海關總署的國家電子口岸執法系統安全子系統,采用自主知識產權的 CA 系統作為基礎和核心進行建設,已發放證書 30 余萬張,結合海關業務系統特點,在加強國家宏觀調控能力,強化有關部門對進出口貿易的監督管理職能,維護外貿秩序,加強進出口管理,加強口岸執法,打擊走私、騙稅、騙匯等違法犯罪行為等方面發揮了重要作用,取得了巨大的經濟效益和社會效益。
經過幾年來的努力,我國以 CA 為核心的網絡信任體系建設已經具有一定的規模,初步形成了產業化雛形,探索了 CA 的應用模式,積累了管理經驗,技術標準化、規范化工作取得了初步成效,擴大了信息安全保障工作在社會上的影響,為進一步推動電子政務的發展和應用奠定了較好的基礎。
三、對我國網絡信任體系現狀的一些思考
隨著信息化發展對信息安全保障工作要求的進一步提高,我們應該看到,我國的網絡信任體系建設還處在起步階段,還存在著諸多的問題,這就需要國家的主管部門努力研究積極尋找解決的方法。
1 、目前,關于網絡信任體系的建設,存在多頭管理的現象,信息產業廳、保密局、國密辦等單位都參與信息安全保障工作, CA 系統的建設究竟由誰來負責管理,由誰來負責驗收和監督,都缺乏統一的規劃和管理。建議成立專門的協調小組,由某一個部門牽頭,其他部門配合工作,對建設 CA 系統擬定一套申辦的流程,各個部門負責自己職能范圍內的管理。
2 、盲目建設、重復建設現象嚴重,許多 CA 規模較小,使用效率低,造成資源的極大浪費。建議在全國范圍內統籌規劃,組建國家級的證書授權與身份認證中心和國家級的 KM 中心,由國家密碼主管部門統一管理 CA 授權和 KM 發放,解決各 CA 之間的交叉認證問題。
3 、缺乏統一的技術標準,沒有相應的管理制度和法律規范。建議按照我國的特色,積極研究探索 CA 和 KM 建設的技術規范和標準指南,以引導建設單位按照國家的標準和要求來建設網絡信任體系。同時,應出臺相應的管理條例和應用方面的法規,例如《電子簽章法》等,可以從法律的角度確認網絡信任體系的作用,進一步推廣其應用,規范其管理。
4 、進一步加大科研力度,研究高技術含量,能夠滿足市場需求的產品。信息發展的速度日新月異,我們的科研部門應該根據市場需求,組織研究先進技術,同時引導有能力的企業去生產能夠跟上網絡發展,滿足市場需求的安全產品,以確保網絡信任體系建設的先進性。
5 、要嚴格對信息安全承建單位及使用產品的管理。眾所周知,目前,承建信息安全建設的企業,有的是持保密局頒發的《涉密計算機系統集成單位》資質,有的是國密辦授與的《商用密碼生產定點單位》等資質。對于不同的行業,不同的領域,承建單位應該具有什么樣的資質應該有統一的規定,對于用戶及承建單位都是一個參照的標準。而且,項目建設中所采用的設備、產品,應當是通過什么部門認可的,經過什么部門檢測的,都應該有明確的標準,這樣才會有利于項目建設的規范性和可控性,避免因為資質的原因而造成豆腐渣工程,影響整個網絡信任體系的安全性。
6 、加強信息安全人才的培養,以滿足管理和研發的需要。從政府內部來講,要加快建立公務員的信息安全技術知識和管理的培訓制度、統一標準和培訓大綱;充分利用院校的教育資源,對在職的公務員進行安全意識、技術知識和管理規范等方面的培訓。從社會角度來講,要鼓勵各大院校開設信息安全專門學科,培養信息安全方面的專門人才,從學科研究方面加強科研力度。切實做到有人研發、有人管理、分工合作,為建設網絡信息體系奠定人才方面的基礎。
綜上所述,只有按照滿足需求、方便使用、加強管理的原則,努力解決安全與發展的問題,圍繞信息化戰略的實施,加強網絡信任體系的建設,切實做好信息安全保障工作,才能推動國家信息化建設事業健康有序發展。